g7001 Опубликовано 24 апреля, 2010 · Жалоба Жил был роутер(Mikrotik),раздающий интернет трафик. После подключения,провайдер выдал 1 внешний ip. В бумаже с настройками все выглядело так: Клиентский ip: AAA.AAA.AAA.2/30 Шлюз по умолчанию AAA.AAA.AAA.1 На интерфейсе роутера был прописан ip AAA.AAA.AAA.2/30 В таблице роутинга Distination 0.0.0.0/0 Gateway AAA.AAA.AAA.1 Трафик побежал и все стало ОК. Прошло время,и понадобились внешние IP адреса. Получил по почте строку CCC.CCC.CCC.CCC/27 ,узнал свой блок белых IP,вот только что с ним делать было много версий,так как больше коментов со стороны прова не было. После общения с техподдержкой стало понятно. Сказали заруливай блок CCC.CCC.CCC.CCC/27 на шлюз AAA.AAA.AAA.1 После двух дней колдования,я понял что что то с заруливанием не то. Техподдержка говорит что все нормально. Ради понимания что ж не так,поставил голый роутер с 2мя интерфейсами. на ether1 происал AAA.AAA.AAA.2/30 на ether2 CCC.CCC.CCC.1/27 В таблице роутинга Distination 0.0.0.0/0 Gateway AAA.AAA.AAA.1 К ether2 подрубил машину с ip CCC.CCC.CCC.2/27 Gateway CCC.CCC.CCC.1/27 C нее пингую AAA.AAA.AAA.2 и AAA.AAA.AAA.1. А в мир пакеты не идут. Вот и пытаюсь понять тайный смысл,почему шлюз провайдера я пингую,а пакеты в мир он не пропускает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrеw Опубликовано 24 апреля, 2010 · Жалоба пинайте прова, проблема явно на его стороне Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DelSt Опубликовано 24 апреля, 2010 · Жалоба откуда-нибудь извне сделай traceroute CCC.CCC.CCC.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 24 апреля, 2010 (изменено) · Жалоба Точнее 2 трейса: до AAA.AAA.AAA.2 и до CCC.CCC.CCC.1 Если второй закончился сильно раньше первого - показывай прову, где то он забыл прописать. Изменено 24 апреля, 2010 пользователем Дегтярев Илья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
belial Опубликовано 24 апреля, 2010 · Жалоба Скорее всего ваш провайдер 27й диапазон замапил на AAA.AAA.AAA.2, и теперь можете смело менять src-nat адреса, используя новый диапазон. И мапинить новые адреса в случае необходмости Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SokolovS Опубликовано 24 апреля, 2010 · Жалоба А можно на втором внутреннем интерфейсе прописать один из адресов CCC.CCC.CCC.CCC/27, например первый (после адреса сети конечно ;)). Клиентам внутнренней сети назначить адреса из диапазона CCC.CCC.CCC.CCC/27 и шлюзом указать назначенный на внутреннем интерфейсе сервера IP. Тогда у клиентов будут реальники. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g7001 Опубликовано 25 апреля, 2010 · Жалоба Скорее всего ваш провайдер 27й диапазон замапил на AAA.AAA.AAA.2, и теперь можете смело менять src-nat адреса, используя новый диапазон. И мапинить новые адреса в случае необходмостиИнтересно как это вы себе представляете?Сечас там стоит chain=srcnat action=masquerade out-interface=vlan1 соответственно все что прийдет на сервер будет занатено на AAA.AAA.AAA.2. поэтому пришлось подправить правило,что бы заруливало только 10.20.30.0/24,которые vpn-ка раздает,иначе блок ССС.ССС.ССС.ССС/27 будет занатен на тот же AAA.AAA.AAA.2. Вобще как бы технология NAT не может быть использована для такого случая. А можно на втором внутреннем интерфейсе прописать один из адресов CCC.CCC.CCC.CCC/27, например первый (после адреса сети конечно ;)). Клиентам внутнренней сети назначить адреса из диапазона CCC.CCC.CCC.CCC/27 и шлюзом указать назначенный на внутреннем интерфейсе сервера IP. Тогда у клиентов будут реальники.Реальники будут чисто "духовные",в том то и вопрос-почему не работает? шлюз провайдера AAA.AAA.AAA.1 пингуется,а в мир не идет. Пойду трейсы пробовать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
belial Опубликовано 25 апреля, 2010 · Жалоба Делаешь на шлюзе src-nat src.address=192.168.0.100 action=src-nat CCC.CCC.CCC.CCC(один из адресов) 0-65535 и 100й адрес ходит через другой адресс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g7001 Опубликовано 26 апреля, 2010 (изменено) · Жалоба Вобщем ситуация прояснилась. Напомню ОС Mikrotik.Внешний ip его AAA.AAA.AAA.2/30 Шлюз по умолчанию AAA.AAA.AAA.1 Блок выданых адресов CCC.CCC.CCC.96/27 Провайдер дал исчерповающюю инфу для понимания. Маршрутизацию они сделали со свое стороны так: C AAA.AAA.AAA.0/30 is directly connected, FastEthernet0/1.104 CCC.CCC.CCC.0/27 is subnetted, 1 subnets S CCC.CCC.CCC.96 [1/0] via AAA.AAA.AAA.2 traceroute CCC.CCC.CCC.97 Type escape sequence to abort. Tracing the route to CCC.CCC.CCC.97) 1 ZZZ.ZZZ.ZZZ.ZZZ [MPLS: Label 1003 Exp 0] 0 msec 0 msec 0 ms 2 AAA.AAA.AAA.2) 0 msec 0 msec 0 msec 3 * * * Теперь понятно что у них все в порядке.Чего то у меня не хватает,ни могу понять чего только. Буду благодарен любым подсказкам. Изменено 26 апреля, 2010 пользователем g7001 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 26 апреля, 2010 · Жалоба Вобщем ситуация прояснилась. Напомню ОС Mikrotik.Внешний ip его AAA.AAA.AAA.2/30 Шлюз по умолчанию AAA.AAA.AAA.1 Блок выданых адресов CCC.CCC.CCC.96/27 Провайдер дал исчерповающюю инфу для понимания. Маршрутизацию они сделали со свое стороны так: C AAA.AAA.AAA.0/30 is directly connected, FastEthernet0/1.104 CCC.CCC.CCC.0/27 is subnetted, 1 subnets S CCC.CCC.CCC.96 [1/0] via AAA.AAA.AAA.2 traceroute CCC.CCC.CCC.97 Type escape sequence to abort. Tracing the route to CCC.CCC.CCC.97) 1 ZZZ.ZZZ.ZZZ.ZZZ [MPLS: Label 1003 Exp 0] 0 msec 0 msec 0 ms 2 AAA.AAA.AAA.2) 0 msec 0 msec 0 msec 3 * * * Теперь понятно что у них все в порядке.Чего то у меня не хватает,ни могу понять чего только. Буду благодарен любым подсказкам. форвардинг включен ? маски на интерфейсах правильные ? маршруты в таблице не кривые ? фаервол не закрывает ? возможно нат кривой ? вариантов ВАЛ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xander-sh Опубликовано 27 апреля, 2010 (изменено) · Жалоба Извиняюсь, а не один ли ССС.ССС.ССС.96 адрес провайдер отправил через ААА.ААА.ААА.2 ? Исходя из этого CCC.CCC.CCC.0/27 is subnetted, 1 subnets S CCC.CCC.CCC.96 [1/0] via AAA.AAA.AAA.2 Или все-таки отдается сеть ССС.ССС.ССС.96/27 ? Тогда причем здесь ССС.ССС.ССС.1 и ССС.ССС.ССС.2 ? Взято отсюда "После двух дней колдования,я понял что что то с заруливанием не то. Техподдержка говорит что все нормально. Ради понимания что ж не так,поставил голый роутер с 2мя интерфейсами. на ether1 происал AAA.AAA.AAA.2/30 на ether2 CCC.CCC.CCC.1/27 В таблице роутинга Distination 0.0.0.0/0 Gateway AAA.AAA.AAA.1" Изменено 27 апреля, 2010 пользователем xander-sh Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 27 апреля, 2010 · Жалоба самая странная фраза "Сказали заруливай блок CCC.CCC.CCC.CCC/27 на шлюз AAA.AAA.AAA.1" типа он им выдал сеть а не они ему ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g7001 Опубликовано 27 апреля, 2010 (изменено) · Жалоба самая странная фраза "Сказали заруливай блок CCC.CCC.CCC.CCC/27 на шлюз AAA.AAA.AAA.1" типа он им выдал сеть а не они ему ;) Сначала один человек с техподдержки сказал что для вашего блока CCC.CCC.CCC.96/27,шлюз будет CCC.CCC.CCC.96,на него направлять всю подсеть. Что было сделано,но не дало результата.Потом другой человек с той же тех поддержки -"а кто вам такое сказал?",для вашего блока шлюз AAA.AAA.AAA.1. Вот кому верить? Извиняюсь, а не один ли ССС.ССС.ССС.96 адрес провайдер отправил через ААА.ААА.ААА.2 ? Исходя из этого CCC.CCC.CCC.0/27 is subnetted, 1 subnets S CCC.CCC.CCC.96 [1/0] via AAA.AAA.AAA.2 Или все-таки отдается сеть ССС.ССС.ССС.96/27 ? Тогда причем здесь ССС.ССС.ССС.1 и ССС.ССС.ССС.2 ? Сеть. ССС.ССС.ССС.96/27(ССС.ССС.ССС.1 и ССС.ССС.ССС.2 написал для простоты,было прописано ССС.ССС.ССС.97 и ССС.ССС.ССС.98) Изменено 27 апреля, 2010 пользователем g7001 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 27 апреля, 2010 (изменено) · Жалоба а вот это "Сначала один человек с техподдержки сказал что для вашего блока CCC.CCC.CCC.96/27,шлюз будет CCC.CCC.CCC.96,на него направлять всю подсеть" полный абзац! Это не провайдеры - это клоуны с цирка ;)))) Это тоже звучит не меннее странно "Потом другой человек с той же тех поддержки -"а кто вам такое сказал?",для вашего блока шлюз AAA.AAA.AAA.1" так как для них (на их оборудовании) должен быть некст хоп ваш роутер для этой подсети - тоесть AAA.AAA.AAA.2 поэтому скорее всего у вас ничего и не работает если они прописали в себя CCC.CCC.CCC.96/27 через AAA.AAA.AAA.1 - то тогда картина приблизительно так и будет выглядеть Изменено 27 апреля, 2010 пользователем Lynx10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g7001 Опубликовано 27 апреля, 2010 (изменено) · Жалоба ну с провайдером спорить долго. Осенила умная мысль-сделал трэйс на ZZZ.ZZZ.ZZZ.ZZZ(провайдер с него трэйсил,и сказал что мол работает,вот и я потрейсю),к тому же он из другой подсети. Трассировка маршрута к ZZZ.ZZZ.ZZZ.ZZZ] с максимальным числом прыжков 30: 1 30 ms 89 ms 46 ms CCC.CCC.CCC.97 2 161 ms 95 ms 155 ms ZZZ.ZZZ.ZZZ.ZZZ что должно говорить что у меня все нормально. Трасировка в мир,с апи моего сервера ААА.ААА.ААА.2 выглядит как Трассировка маршрута к ya.ru [77.88.21.3] с максимальным числом прыжков 30: 1 2 7 ms 4 ms 3 ms [ААА.ААА.ААА.1] 3 21 ms 31 ms 23 ms[WWW.WWW.WWW.WWW] 4 24 ms 18 ms 22 ms yandex-gw.ix.net.ua [195.35.65.88 5 47 ms 43 ms 43 ms leonov-vlan843.yandex.net [213.180.208.142] 6 137 ms 139 ms 139 ms grechko-vlan120.yandex.net [87.250.233.125] 7 66 ms 137 ms 122 ms toyota-vlan4.yandex.net [213.180.210.181] 8 50 ms 45 ms 43 ms www.yandex.ru [77.88.21.3] А теперь трэйс с ССС.ССС.ССС.98/27 Трассировка маршрута к WWW.WWW.WWW.WWW с максимальным числом прыжков 30: 1 5 ms 4 ms 2 ms CCC.CCC.CCC.97 2 2 ms 2 ms 3 ms AAA.AAA.AAA.1 3 * * * Превышен интервал ожидания для запроса. 4 * * * Превышен интервал ожидания для запроса. 5 * * * Превышен интервал ожидания для запроса. 6 * * * Превышен интервал ожидания для запроса. 7 * * * Превышен интервал ожидания для запроса. 8 * * * Превышен интервал ожидания для запроса. 9 * Что приводит к мыслям что штука WWW.WWW.WWW.WWW это их шлюз в мир,и оно попросту не пускает туда ССС.ССС.ССС.96/27 Правильны ли мои измышления? Изменено 27 апреля, 2010 пользователем g7001 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 27 апреля, 2010 · Жалоба на [WWW.WWW.WWW.WWW] может не быть маршрутов на вашу подсеть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...