Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

Вопрос по маршрутизации

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети
Предыдущая тема :: Следующая тема  
Автор Сообщение
4e6



Зарегистрирован: 09.01.2006
Сообщения: 92
Откуда: Москва

СообщениеДобавлено: Вт Мар 27 2007 20:27    Заголовок сообщения: Вопрос по маршрутизации Ответить с цитатой

Дано:

Сеть1
192.168.0.0/24
Маршрутизатор1: 192.168.0.62/255.255.255.0
Маршрутизатор2: 192.168.0.63/255.255.255.0
OpenVPN
10.1.1.1
Клиент1
192.168.0.13/255.255.255.0
шлюз по умолчанию 192.168.0.62
маршрут 192.168.2.0/24 -> 192.168.0.63

Сеть2
192.168.2.0/24
Маршрутизатор3: 192.168.2.64/255.255.255.0
OpenVPN
10.1.1.2
Клиент2
192.168.2.13/255.255.255.0
шлюз по умолчанию 192.168.2.64

Т.е. 2 сети, объединённые посредством OpenVPN. В роли маршрутизаторов 2 и 3 - Linux Fedora Core 4/2.6.17-1.2142_FC4 и 2.6.11-1.1369_FC4 соответственно.
Удалось добиться того, что из Сети1 свободно проходят пакеты в Сеть2. Вот пример с Маршрутизатора2:
Код:
traceroute to 192.168.2.13 (192.168.2.13), 30 hops max, 38 byte packets
 1  10.1.1.2  2.407 ms  3.361 ms  4.287 ms
 2  192.168.2.13  2.745 ms  2.744 ms  5.079 ms

С Клиента1 тоже всё хорошо.

А в обратную сторону, т.е. из Сети2 в Сеть1 только до Маршрутизатора2:
Код:
Трассировка маршрута к 192.168.0.13 с максимальным числом прыжков 30

  1    <1 мс    <1 мс    <1 мс  192.168.2.64
  2     4 ms     2 ms     3 ms  10.1.1.1
  3     *        *        *     Превышен интервал ожидания для запроса.
  4  ^C

IP Forward и там и там =1
При поднятии туннеля на Маршрутизаторе2 поднимается маршрут:
Код:
route add -net 192.168.2.0/24 gw 10.1.1.2 dev tun0

На Маршрутизаторе3:
Код:
route add -net 192.168.0.0/24 gw 10.1.1.1 dev tun0


Где грабли? Устал по ним топтаться.
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Вт Мар 27 2007 21:47    Заголовок сообщения: Ответить с цитатой

Какой default gw на 192.168.0.13 ?
Сдается мне, что 192.168.0.62.
А ведь он ни сном, ни духом о сети 192.168.2.0/24


А ведь на нем надо бы сделать так:
route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.0.63
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
4e6



Зарегистрирован: 09.01.2006
Сообщения: 92
Откуда: Москва

СообщениеДобавлено: Ср Мар 28 2007 08:21    Заголовок сообщения: Ответить с цитатой

Не угадали. Я ж написал
Цитата:
Клиент1
192.168.0.13/255.255.255.0
шлюз по умолчанию 192.168.0.62
маршрут 192.168.2.0/24 -> 192.168.0.63

Ну и так как я сейчас как раз на 192.168.0.13, ака Клиент1, то вон route print:

Код:
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.

Y:\>route print
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x2 ...00 01 6c 27 2f 9c ...... Intel(R) PRO/1000 CT Network Connection - ╠шэшяю
ЁЄ яырэшЁют∙шър яръхЄют
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     192.168.0.62    192.168.0.13       20
     81.211.64.80  255.255.255.255     192.168.0.62    192.168.0.13       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0    255.255.255.0     192.168.0.13    192.168.0.13       20
     192.168.0.13  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.255  255.255.255.255     192.168.0.13    192.168.0.13       20
      192.168.2.0  255.255.255.255     192.168.0.63    192.168.0.13       1
      192.168.2.0    255.255.255.0     192.168.0.63    192.168.0.13       1
        224.0.0.0        240.0.0.0     192.168.0.13    192.168.0.13       20
  255.255.255.255  255.255.255.255     192.168.0.13    192.168.0.13       1
Основной шлюз:        192.168.0.62
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
     81.211.64.80  255.255.255.255     192.168.0.62       1

Y:\>


Грешу ещё на фаерволы. Вот что у меня делается относительно туннелей:
Код:
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT

Может, что-то не так?
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Sol



Зарегистрирован: 05.12.2003
Сообщения: 427
Откуда: Томск

СообщениеДобавлено: Чт Мар 29 2007 06:13    Заголовок сообщения: Ответить с цитатой

сдается мне что действительно дело в фаерволе...

правил которые вы написали, мне кажется недостаточно...

необходимо ещё на соответствующих интерфейсах маршрутизаторов разрешить принимать пакеты...

Напрмер на маршрутизаторе 3 , на интерфейсе 192.168.2.64 появится пакет из сети 192.168.0.0/24
Есть у вас правило, которое разрешает принимать эти пакеты на этом интерфейсе??
_________________
In My Humble Opinion
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
4e6



Зарегистрирован: 09.01.2006
Сообщения: 92
Откуда: Москва

СообщениеДобавлено: Чт Мар 29 2007 07:00    Заголовок сообщения: Ответить с цитатой

Добавил правило:
Код:
iptables -A INPUT -s 192.168.0.0 -j ACCEPT

Добился того, что с клиента 192.168.2.13 проходят пинги во всю сеть 192.168.0.0/24
Маршрутизатор 192.168.0.63 также пингует всю сеть (включая маршрутизатор 192.168.2.64) 192.168.2.0/64.
А вот с маршрутизатора 192.168.2.64 пингуется только 192.168.0.63 и никакие другие адреса из сети 192.168.0.0/24. Может, дело в том, что при отправке этого пинга он "представляется" не как 192.168.2.64, а как 10.1.1.2? А в эту сеть клиенты маршрута уж точно не знают...
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
4e6



Зарегистрирован: 09.01.2006
Сообщения: 92
Откуда: Москва

СообщениеДобавлено: Чт Мар 29 2007 10:14    Заголовок сообщения: Ответить с цитатой

Разобрался. Спасибо Sol. Дело действительно было в фаерволле. Надо было на обоих маршрутизаторах разрешить приём пакетов из соседней сети + разрешить форвардинг из этих сетей. Прошу прощения за невежество - я только учусь. Smile
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Чт Мар 29 2007 10:51    Заголовок сообщения: Ответить с цитатой

Цитата:
Грешу ещё на фаерволы. Вот что у меня делается относительно туннелей:


Всегда при разборе полетов отключай фаерволы.

Вчера лечил проблему. Не работает скайп через проксю, хоть ты тресни. Но товарищ утверждает, что работало.
Я снимал трафик, читал доки, форумы, то, сё... Плюнул, отодвинул товарища от компа, сел сам. Отключил локальный фаервол от славной компании AVP. Заработало.
Начал разбираться. Оказывается он еще и проверяет зашифрованные SSL. Ясен пень делает это очень плохо и рвет соединение. Отключил проверку SSL. Работает.

Мораль: Уберите сложное, чтобы решить проблему с простым.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
4e6



Зарегистрирован: 09.01.2006
Сообщения: 92
Откуда: Москва

СообщениеДобавлено: Чт Мар 29 2007 12:13    Заголовок сообщения: Ответить с цитатой

Дык ить нельзя было совсем отключать. Во-первых, форвардинг перестаёт работать, что при удалённой работе создаёт досадную ситуацию. А во-вторых, как-то не очень хорошо оставлять сервер в инете без фаервола... Wink
_________________
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Чт Мар 29 2007 22:57    Заголовок сообщения: Ответить с цитатой

Цитата:
Дык ить нельзя было совсем отключать. Во-первых, форвардинг перестаёт работать


Фигню нести перестаем.
service iptables stop не вызывает запрета на передачу пакетов между интерфейсами.

За 20-30 минут вас не взломают. Мифы это все.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Sol



Зарегистрирован: 05.12.2003
Сообщения: 427
Откуда: Томск

СообщениеДобавлено: Пт Мар 30 2007 08:19    Заголовок сообщения: Ответить с цитатой

не нравится мне это ваше правило
Код:
iptables -A INPUT -s 192.168.0.0 -j ACCEPT


Я может быть излишне перестраховываюсь.. но.. что вы сделали на самом деле этим правилом?
Разрешили приём пакетов из сети 192.168.0.0 на всех интерфейсах!

Моё внутренне я катогорически сопротивляется таким правилам, потому что знает, что через 3 месяца.. (или пол года.. не суть важно) забудет, что такое правило есть.. А там возникнет необходимость добавить сетевой интерфейс.. или vpn туннель .. или ещё бог знает что..
И на нём это правило тоже будет применяться!
И полезут проблемы.. И вы будете чесать затылок и вопрошать: "Ну почему ж эта хрень так работает??"

Разрешать нужно и должно ровно столько, сколько необходимо для решения конкретной задачи.. Избавите себя от множества проблем.

извините за "многа букв" .. :-)
_________________
In My Humble Opinion
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Сети Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...