Добрый день, всем. Суть проблемы в следующем: объединяю несколько филиалов с помощью своего провайдера — успешно подключил 9 (там стоят D-Link 500T), засада только вот осталась с одним — там стоит Zyxel 660 HW. Пинг с модема идёт как на Wan-интерфейс головного офиса, так и на любой комп локальной сети головного офиса. Когда же пытаюсь пингануть какой-нибудь ip-шник из локальной сети филиала даже с роутера в головном офисе — ничего не получается. Пингануть можно только Wan-интерфейс модема филиала.
Wan головного офиса — 10.10.1.34, Lan — 192.168.1.5 (линуксовый роутер). Wan филиала — 10.10.1.10, Lan — 192.168.12.254. В филиале стоит Zyxel.
Файрвол на модеме отрубил, Nat поднял , а результата нетsad С D-Link`oм 500Т таких проблем не возникало. Может кто сталкивался?
Последние комментарии
- OlegL, 17 декабря в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
NAT не односторонний случаем поднят? т.е. со стороны филиала есть. а со стороны головного офиса не настроен. На модеме естественно
при чем тут вообще NAT ? (И вообще — у вас NAT или PAT?)
На стороне филиала на модеме Zyxel 660 HW NAT поднят следующим образом -
NAT — Mode
Network Address Translation
None
SUA Only Edit Details
Full Feature Edit Details — выбрана такая опция.
Далее в ней настроено следующим образом:
NAT — Address Mapping Rules
Local Start IP Local End IP Global Start IP Global End IP Type
Rule 1 192.168.12.1 192.168.12.255 10. 10. 1. 10 . . . M-1
Теперь про головной офис — тут стоит линуксовый роутер (ASPLinux)
в iptables прописано следующее:
*nat
:PREROUTING ACCEPT [155892:28505218]
:POSTROUTING ACCEPT [2363:189420]
:OUTPUT ACCEPT [284:23018]
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE
Вроде всё правильно. Может я чего на модеме недописал? Что самое забавное, с D-Link`ом DSL 500T проблем нет никаких.
Не совсем понял, как это причём? Что на линуксовом роутере в головном офисе, что на модеме в филиале есть по одному «внешнему» ip-адресу (10.10.1.34 и 10.10.1.10 соответственно). Через них компьютеры в локальной сети головного офиса (подсеть 192.168.1.0/24) и филиала (192.168.1.12/24) и общаются друг с другом. Как здесь можно обойтись без NAT? Так что использую именно NAT. В использовании PAT я просто не вижу необходимости. Разве она есть?
То есть у вас в ЛВС филиала исключительно ОДИН комп, с которым надо общаться?
Но зачем вообще заморачиваться с NAT — если линковочная сеть частная, то просто настройте роутинг. Если публичная — поднимите какой-либо VPN и тоже настройте роутинг.
Да, и как со всем этим сочетается использование на линуховом шлюзе PAT (ибо маскарадинг в линухе как раз и является реализацией PAT)?
Нет, в ЛВС филиала около 30 компов. И надо общаться со всеми. так что с NAT всё таки надо заморачиваться.
По поводу SNAT и маскарадинга — как сказано в Iptables tutorial:
«Как вы уже поняли, действие MASQUERADE может быть использовано вместо SNAT, даже если вы имеете постоянный IP адрес, однако, невзирая на положительные черты, маскарадинг не следует считать предпочтительным в этом случае, поскольку он дает большую нагрузку на систему.»
То есть и SNAT осуществляет Port Address Translation. Так что в этом плане разници между SNAT и маскарадингом нет.
Хотя в моём случае правильнее будет использовать SNAT. Что я и сделал:
*nat
:PREROUTING ACCEPT [155892:28505218]
:POSTROUTING ACCEPT [2363:189420]
:OUTPUT ACCEPT [284:23018]
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j SNAT --to-source 10.10.1.34
Только вот пинги на локальные компы филиала всё равно не идут:(
Есть ещё идеи. мне кажется, что дело в настройках модема.
а мне кажется — в непонимании работы NAT
Хорошо, что я не понял? Можете объяснить?
Наверное то, что вполне можно обойтись и без NAT вообще ;). Достаточно просто правильно настроить маршрутизацию. Кстати, а как выглядят таблицы маршрутизации на обоих «роутерах»?
:) Наверное можно, только вот как?
1. Маршрутизация на модеме-роутере Zyxel в филиале настроена просто — шлюз по умолчанию — 10.10.1.9 (шлюз провайдера).
2. У меня в головном офисе настроено следующим образом:
# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.10.1.32 0.0.0.0 255.255.255.252 U 0 0 0 eth1
10.10.1.8 10.10.1.33 255.255.255.252 UG 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.12.0 10.10.1.33 255.255.255.0 UG 0 0 0 eth1
0.0.0.0 192.168.1.3 0.0.0.0 UG 0 0 0 eth0
10.10.1.9 и 10.10.1.33 — шлюзы моего провайдера.
192.168.1.0/24 — лок. сеть головного офиса
192.168.12.0/24 — лок. сеть филиала
Могу. Но предлагаю подумать самому — что за фигня у вас получается.
Сесть и нарисовать схему на бумаге. Поразмышлять над тем, что куда и как у вас натится.
…… а потом — что куда и как роутится