Форум на Kuban.ru (http://forums.kuban.ru/)
-   Сети и их администрирование (http://forums.kuban.ru/f1029/)
-   -   Непонятки с маршрутизацией (http://forums.kuban.ru/f1029/neponyatki_s_marshrutizaciej-3417121.html)

анонимус1 11.12.2012 10:30
Непонятки с маршрутизацией
 
Дело значит обстоит так, есть у меня шлюз на Debian 6.0.2 с 3 сетевками
Предназначен для связи нескольких подсетей.

eth0 подключен к локальной сети организации сеть 192.168.111.0/24 (ip 192.168.111.239)

eth1 подключен в cisco для связи с другой организацией, имеет ip из сети 192.168.111.0/24 на другой стороне тоже из этой же сети ip (192.168.111.238)

eth2 подключен cisco для связи с третьей организацией ip из сети 192.168.222.0/24 - это транспортная сеть третьей организации.

Через эту сеть я получаю доступ к еще трем подсетям 192.168.123.0/24 192.168.124.0/24 192.168.125.0/24

У каждого интерфейса назначен шлюз по умолчанию из соответствующей сети.

Так же есть главный шлюз (192.168.111.250), на котором проброшены маршруты в сети третьей организации (192.168.123.0/24 192.168.124.0/24 192.168.125.0/24)

Так вот, странность в том, что если я пингую что то из (192.168.123.0/24 192.168.124.0/24 192.168.125.0/24) с главного шлюза (192.168.111.250) - то пинг проходит и все прекрасно, а если с непосредственно шлюза подключенного к cisco - то до этих сетей пинг не доходит.
Как такое возможно и что с этим можно сделать?

gloomymen 11.12.2012 10:43
дело нев маршрутизации
с точки зрения самого шлюза это разница между транзитным и локальным трафиком, вам нужно это осмыслить и посмотреть в текущие правила фильтра

pikorta 11.12.2012 13:32
похоже обратный путь не прописан. Можно схемку глянуть?

gloomymen 11.12.2012 14:30
это да, схема не помешела бы, описание топологии не для трезвых умов)
насколько я уяснил, этот главный шлюз, ходит в страны третьего мира через проблемного пациента, это так?

анонимус1 11.12.2012 16:54
3-gloomymen >да, именно так. завтра с утра нарисую примерную схему, сейчас убегаю с работы.

lithium 11.12.2012 17:01
меня смущает что у двух интерфейсов адреса из одной и то же сети
"
eth0 подключен к локальной сети организации сеть 192.168.111.0/24 (ip 192.168.[b]111[/b].239)
eth1 подключен в cisco для связи с другой организацией, имеет ip из сети 192.168.[b]111[/b].0/24"

gloomymen 11.12.2012 17:01
4-анонимус1 > да уже не надо схему)
ну и разрешите локальный трафик, всего и делов

анонимус1 12.12.2012 09:14
5-lithium > Ну они подключены к несвязанным коммутаторам, один локалка, а другой циска для связи по оптике.

анонимус1 12.12.2012 09:16
6-gloomymen > кстати, еще такое заметил. Сразу после перезагрузки этого проблемного шлюза сети 192.168.123.0/24 192.168.124.0/24 192.168.125.0/24 пингуются, но проходит минут 10 и они не отвечают, хотя с главного сервера все норм.

petrovichr 12.12.2012 11:49
1. [quote=lithium;28112047] меня смущает что у двух интерфейсов адреса из одной и то же сети " eth0 подключен к локальной сети организации сеть 192.168.111.0/24 (ip 192.168.111.239) eth1 подключен в cisco для связи с другой организацией, имеет ip из сети 192.168.111.0/24" [/quote]
2. [b]У каждого интерфейса назначен шлюз по умолчанию из соответствующей сети[/b].
Зашибись схема.
А ничего что у КАЖДОГО интерфейса должны быть уникальные подсети ?
А ни кого не смущает что у сетевого устройства может быть ОДИН активный дефаулт гетвей, вне зависимости от количества интерфейсов ?
[b]Так же есть главный шлюз (192.168.111.250), [/b] а второстепенные есть шлюзы ? заодно расскажи что это такое :)

pikorta 12.12.2012 13:59
9-petrovichr >так поэтому и просили схемку набросать. Но похоже, экстрасенсы уже все порешали.

анонимус1 12.12.2012 14:14
[img]http://cs306501.userapi.com/v306501481/323f/TgW_U-kl6wo.jpg[/img]


auto eth0
iface eth0 inet static
address 192.168.111.239
netmask 255.255.255.0
gateway 192.168.111.250
nameserver 192.168.111.250
auto eth1
iface eth1 inet static
address 192.168.111.238
netmask 255.255.255.0
gateway 192.168.111.237

auto eth2
iface eth2 inet static
address 192.168.222.8
netmask 255.255.255.0
gateway 192.168.222.1

анонимус1 12.12.2012 14:15
11-анонимус1 > упс, в организации 2 ip 192.168.222.1, а не 192.168.222.8

lithium 12.12.2012 15:22
9-petrovichr > А ни кого не смущает что у сетевого устройства может быть ОДИН активный дефаулт гетвей, вне зависимости от количества интерфейсов ?

есть какая мутная технология в виндах, когда шлюзов несколько и винды выбирают второй если первый не работает.

lithium 12.12.2012 15:22
12-анонимус1 > Вашей организации надо пригласить на работу админа

gloomymen 12.12.2012 16:20
13-lithium > на самом деле она еще более мутная, т.к. периодически отправляет часть пакетов в другой шлюз когда первый доступен

анонимус1 12.12.2012 16:28
14-lithium > спасибо за помощь, ага.

pikorta 12.12.2012 18:00
для начала раскидать сети в ясную, логическую структуру. Например так:
eth1 192.168.111.238/30, на другом конце 192.168.111.237/30
eth0 192.168.111.249/30, на другом конце 192.168.111.250/30

на cisco 192.168.111.250 взамен старых прописать:
ip route 192.168.123.0/24 192.168.111.249
ip route 192.168.124.0/24 192.168.111.249
ip route 192.168.125.0/24 192.168.111.249

аналогично для этих сеток сделать на debian:
route add -net 192.168.123.0/24 gw 192.168.222.1
route add -net 192.168.124.0/24 gw 192.168.222.1
route add -net 192.168.125.0/24 gw 192.168.222.1


плюс сеть 192.168.0.0/24 gw 192.168.111.237

gloomymen 12.12.2012 18:57
структуру в порядок привести конечно не помешает, но imho, к вопросу топика это имеет слабое отношение

способ # раз
iptables -t raw -A PREROUTING -p icmp -d 192.168.123.0/24 -j TRACE
iptables -t raw -A PREROUTING -p icmp -s 192.168.123.0/24 -j TRACE
ping -c2 anyhost-net-123/24
iptables -t raw -D PREROUTING -p icmp -d 192.168.123.0/24 -j TRACE
iptables -t raw -D PREROUTING -p icmp -s 192.168.123.0/24 -j TRACE
grep TRACE /var/log message

способ # два
в одной консоли tcpdump -nni eth2
в другой ping -c2 anyhost-net-123/24

gloomymen 12.12.2012 19:10
/var/log/message конечно же

gloomymen 12.12.2012 19:56
ну и когда глаза в разбег пойдут от вывода tcpdump, вывод можно отфильтровать самостоятельно)

petrovichr 12.12.2012 19:59
[quote=lithium;28128762] 9-petrovichr > А ни кого не смущает что у сетевого устройства может быть ОДИН активный дефаулт гетвей, вне зависимости от количества интерфейсов ? есть какая мутная технология в виндах, когда шлюзов несколько и винды выбирают второй если первый не работает. [/quote]
Поэтому я и поставил акцент на "активный дефаулт"
Ну в циске есть тоже несколько фич, такие как ip sla и track, и тоже можно выбирать дефаулт в зависимости от доступности того или иного хоста. Но тут четко сказано что это Debian.
PS Основные проблемы с сетью, вне зависимости от операционной системы, абсолютное не знание элементарных условий работы сетевых протоколов.

gloomymen 12.12.2012 20:05
21-petrovichr > хватит наезжать из пустого в порожнее, увидел красную тряпку блть)))

petrovichr 12.12.2012 21:23
22 gloomymen> ты искренне веришь что человек разберется в дампе ????

gloomymen 12.12.2012 21:34
я верю в неотвратимость наказания, черные дыры и любовь
разберется, куда он денется, ты тоже когда-то его впервые увидел, и я, и до сих пор оба живы, э)

анонимус1 13.12.2012 08:56
20-gloomymen > спасибо, буду смотреть.


Текущее время: 16:14. Часовой пояс GMT +3.