nixp.ru v3.0

16 января 2017,
понедельник,
18:00:24 MSK

Аутсорсинг Linux с компанией «Флант»
kuzmichnn написал 14 декабря 2005 года в 08:21 (553 просмотра) Ведет себя как мужчина; открыл 6 тем в форуме, оставил 27 комментариев на сайте.

Добрый день, всем. Суть проблемы в следующем: объединяю несколько филиалов с помощью своего провайдера — успешно подключил 9 (там стоят D-Link 500T), засада только вот осталась с одним — там стоит Zyxel 660 HW. Пинг с модема идёт как на Wan-интерфейс головного офиса, так и на любой комп локальной сети головного офиса. Когда же пытаюсь пингануть какой-нибудь ip-шник из локальной сети филиала даже с роутера в головном офисе — ничего не получается. Пингануть можно только Wan-интерфейс модема филиала.

Wan головного офиса — 10.10.1.34, Lan — 192.168.1.5 (линуксовый роутер). Wan филиала — 10.10.1.10, Lan — 192.168.12.254. В филиале стоит Zyxel.

Файрвол на модеме отрубил, Nat поднял , а результата нетsad С D-Link`oм 500Т таких проблем не возникало. Может кто сталкивался?

Code Monkey

NAT не односторонний случаем поднят? т.е. со стороны филиала есть. а со стороны головного офиса не настроен. На модеме естественно

Dmitry Ivanov

при чем тут вообще NAT ? (И вообще — у вас NAT или PAT?)

kuzmichnn
Dark_SavanT
NAT не односторонний случаем поднят? т.е. со стороны филиала есть. а со стороны головного офиса не настроен. На модеме естественно

На стороне филиала на модеме Zyxel 660 HW NAT поднят следующим образом -

NAT — Mode

Network Address Translation

None

SUA Only Edit Details

Full Feature Edit Details — выбрана такая опция.

Далее в ней настроено следующим образом:

NAT — Address Mapping Rules

Local Start IP Local End IP Global Start IP Global End IP Type

Rule 1 192.168.12.1 192.168.12.255 10. 10. 1. 10 . . . M-1

Теперь про головной офис — тут стоит линуксовый роутер (ASPLinux)

в iptables прописано следующее:

*nat

:PREROUTING ACCEPT [155892:28505218]

:POSTROUTING ACCEPT [2363:189420]

:OUTPUT ACCEPT [284:23018]

-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j MASQUERADE

Вроде всё правильно. Может я чего на модеме недописал? Что самое забавное, с D-Link`ом DSL 500T проблем нет никаких.

kuzmichnn
Dmitry Ivanov
при чем тут вообще NAT ? (И вообще — у вас NAT или PAT?)

Не совсем понял, как это причём? Что на линуксовом роутере в головном офисе, что на модеме в филиале есть по одному «внешнему» ip-адресу (10.10.1.34 и 10.10.1.10 соответственно). Через них компьютеры в локальной сети головного офиса (подсеть 192.168.1.0/24) и филиала (192.168.1.12/24) и общаются друг с другом. Как здесь можно обойтись без NAT? Так что использую именно NAT. В использовании PAT я просто не вижу необходимости. Разве она есть?

anonymous
kuzmichnn
Не совсем понял, как это причём? Что на линуксовом роутере в головном офисе, что на модеме в филиале есть по одному «внешнему» ip-адресу (10.10.1.34 и 10.10.1.10 соответственно). Через них компьютеры в локальной сети головного офиса (подсеть 192.168.1.0/24) и филиала (192.168.1.12/24) и общаются друг с другом. Как здесь можно обойтись без NAT? Так что использую именно NAT. В использовании PAT я просто не вижу необходимости. Разве она есть?

То есть у вас в ЛВС филиала исключительно ОДИН комп, с которым надо общаться?

Но зачем вообще заморачиваться с NAT — если линковочная сеть частная, то просто настройте роутинг. Если публичная — поднимите какой-либо VPN и тоже настройте роутинг.

Да, и как со всем этим сочетается использование на линуховом шлюзе PAT (ибо маскарадинг в линухе как раз и является реализацией PAT)?

kuzmichnn
idv_
То есть у вас в ЛВС филиала исключительно ОДИН комп, с которым надо общаться?

Но зачем вообще заморачиваться с NAT — если линковочная сеть частная, то просто настройте роутинг. Если публичная — поднимите какой-либо VPN и тоже настройте роутинг.

Да, и как со всем этим сочетается использование на линуховом шлюзе PAT (ибо маскарадинг в линухе как раз и является реализацией PAT)?

Нет, в ЛВС филиала около 30 компов. И надо общаться со всеми. так что с NAT всё таки надо заморачиваться.

По поводу SNAT и маскарадинга — как сказано в Iptables tutorial:

«Как вы уже поняли, действие MASQUERADE может быть использовано вместо SNAT, даже если вы имеете постоянный IP адрес, однако, невзирая на положительные черты, маскарадинг не следует считать предпочтительным в этом случае, поскольку он дает большую нагрузку на систему.»

То есть и SNAT осуществляет Port Address Translation. Так что в этом плане разници между SNAT и маскарадингом нет.

Хотя в моём случае правильнее будет использовать SNAT. Что я и сделал:

*nat

:PREROUTING ACCEPT [155892:28505218]

:POSTROUTING ACCEPT [2363:189420]

:OUTPUT ACCEPT [284:23018]

-A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth1 -j SNAT —to-source 10.10.1.34

Только вот пинги на локальные компы филиала всё равно не идут:(

Есть ещё идеи. мне кажется, что дело в настройках модема.

Dmitry Ivanov

а мне кажется — в непонимании работы NAT

kuzmichnn
Dmitry Ivanov
а мне кажется — в непонимании работы NAT

Хорошо, что я не понял? Можете объяснить?

fly4life
kuzmichnn
Хорошо, что я не понял? Можете объяснить?

Наверное то, что вполне можно обойтись и без NAT вообще ;). Достаточно просто правильно настроить маршрутизацию. Кстати, а как выглядят таблицы маршрутизации на обоих «роутерах»?

kuzmichnn
fly4life
Наверное то, что вполне можно обойтись и без NAT вообще ;). Достаточно просто правильно настроить маршрутизацию. Кстати, а как выглядят таблицы маршрутизации на обоих «роутерах»?

:) Наверное можно, только вот как?

1. Маршрутизация на модеме-роутере Zyxel в филиале настроена просто — шлюз по умолчанию — 10.10.1.9 (шлюз провайдера).

2. У меня в головном офисе настроено следующим образом:

# route

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

10.10.1.32 0.0.0.0 255.255.255.252 U 0 0 0 eth1

10.10.1.8 10.10.1.33 255.255.255.252 UG 0 0 0 eth1

192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

192.168.12.0 10.10.1.33 255.255.255.0 UG 0 0 0 eth1

0.0.0.0 192.168.1.3 0.0.0.0 UG 0 0 0 eth0

10.10.1.9 и 10.10.1.33 — шлюзы моего провайдера.

192.168.1.0/24 — лок. сеть головного офиса

192.168.12.0/24 — лок. сеть филиала

Dmitry Ivanov
kuzmichnn
Хорошо, что я не понял? Можете объяснить?

Могу. Но предлагаю подумать самому — что за фигня у вас получается.

Сесть и нарисовать схему на бумаге. Поразмышлять над тем, что куда и как у вас натится.

Dmitry Ivanov

…… а потом — что куда и как роутится

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.