Имеется сервер под FreeBSD 7, собирался как гейт, раздающий инет для небольшой сети.
2 сетевые карточки. 1 - в инет, другая в сеть.
IP внешнего интерфейса - 192.168.2.17/16
внутреннего - 194.254.161.201/24
Кроме НАТа и фаера ничего не правилось. Ядро собранно с поддержкой IPFW.
Пингую с внутренней сети гейт - ответов нет (по tcpdump'у на гейте - запросы есть, ответов нет)
пингую с самого гейта свой же адрес 194.254.161.201 - ни запросов, ни ответов.Меняю на гейте адрес с 194.254.161.201 на 192.169.1.1/24. Ставлю на клиенте адрес так же из этой подсети - все работает, пинги, инет. все как требовалось.
Не могу найти в чем грабли, может кто сталкивался?
Адрес гейта на внутреннем интерфейсе менять нельзя...
>Кроме НАТа и фаера ничего не правилось. Ядро собранно с поддержкой IPFW.для проверки отруби все фаерволы и НАТы
>>Кроме НАТа и фаера ничего не правилось. Ядро собранно с поддержкой IPFW.
>
>для проверки отруби все фаерволы и НАТыотрубал, не лечится
>Имеется сервер под FreeBSD 7, собирался как гейт, раздающий инет для небольшой
>сети.
>2 сетевые карточки. 1 - в инет, другая в сеть.
>IP внешнего интерфейса - 192.168.2.17/16
>внутреннего - 194.254.161.201/24^^^^^ - может быть, 192.168. - это все же внутренняя сеть?
>^^^^^ - может быть, 192.168. - это все же внутренняя сеть?нет. инет-провайдер просто дает серые адреса
>>^^^^^ - может быть, 192.168. - это все же внутренняя сеть?
>
>нет. инет-провайдер просто дает серые адресаИМХО нужно просмотреть конфигурацию файрволла, НАТ и ядра на предмер правильной маршрутизации. Налицо проблема с ней.
Ну и как обычно... А конфиги религия запретила показать народу?Да, и если с одним адресом работает, а с другим нет. то может дело именно в НЕПРАВИЛЬНЫХ адресах? Может всё же нужно выяснить у прова именно ПРАВИЛЬНЫЕ адреса?
хэв-э-найс-дэй.
Хорошо. Внесу ясность немного схему, чтоб было более понятно...инет-провайдер - в данном случае это частная (домовая) сеть, раздает адреса из сети 192.168.0.0/16
Локальная сеть организации (той, в которой будет установлен сервер) - адреса 194.254.161.201/24
схема:
инет-пров <-> гейт <-> компы организацииупрощаем схему - убираем локальные компы организации
т.е остается инет-пров <-> гейтipfw - allow all from any to any
фнешний фейс пингуется, внутренний нет.....
какие конфиги показать?
в догонку....
Сервер работал в указанной конфигурации около 4х лет, после чего скончался жесткий диск. Сейчас все поднимается с нуля.
>в догонку....
>Сервер работал в указанной конфигурации около 4х лет, после чего скончался жесткий
>диск. Сейчас все поднимается с нуля.Дык не работает ж батенька.
Покажите:
/etc/rc.confВсеобъясняющий мануал http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...
да и в догонку нужно проверить работает ли НАТ.
>>в догонку....
>>Сервер работал в указанной конфигурации около 4х лет, после чего скончался жесткий
>>диск. Сейчас все поднимается с нуля.
>
>Дык не работает ж батенька.
>
>
>Покажите:
>/etc/rc.confgateway_enable="YES"
keymap="ru.koi8-r"
mousechar_start="3"
scrnmap="koi8-r2cp866"
network_interfaces="rl0 ed0 lo0"
ifconfig_ed0="inet 194.254.161.201 netmask 255.255.255.0"
ifconfig_rl0="inet 192.168.2.17 netmask 255.255.0.0"
sshd_enable="YES"
firewall_enable="YES"
firewall_script="/etc/rc.firewall"
firewall_type="open"
defaultrouter="192.168.1.5"
hostname="xxx">
>Всеобъясняющий мануал http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/fi...и зачем мне мануал на ipfw ?
говорю же, все работает ОТЛИЧНО, если внутренние адреса назначить из сети 192.169.1.0/24
(см. 1й пост)>да и в догонку нужно проверить работает ли НАТ.
работает (UP).
пробовал вырубать и ipfw и НАТ. проблема осталась.
>[оверквотинг удален]
>
>схема:
>инет-пров <-> гейт <-> компы организации
>
>упрощаем схему - убираем локальные компы организации
>т.е остается инет-пров <-> гейт
>
>ipfw - allow all from any to any
>
>фнешний фейс пингуется, внутренний нет.....Откуда пингуете? С гейта? С клиента? Может настройки клиента левые?
Отключите файрволл, включите НАТ. (Я отдаю предпочтение pf). Если верить вам, то всё должно работать. ХЗ. Значит где-то что-то не прописано/неправильно прописано. проверьте все свои конфиги или вывешивайте тут.... будем посмотреть))))>
>какие конфиги показать?
>[оверквотинг удален]
>>инет-пров <-> гейт <-> компы организации
>
>>упрощаем схему - убираем локальные компы организации
>>т.е остается инет-пров <-> гейт
>>
>>ipfw - allow all from any to any
>>
>>фнешний фейс пингуется, внутренний нет.....
>
>Откуда пингуете? С гейта? С клиента? Может настройки клиента левые?пинговал и с гейта и с клиента - результат один и тот же.
настройки все проверял не один раз - все чисто.>Отключите файрволл, включите НАТ.
отключал, проблема осталась
>(Я отдаю предпочтение pf).
а я ipfw :)
> Если верить вам, то
>всё должно работать. ХЗ. Значит где-то что-то не прописано/неправильно прописано. проверьте
>все свои конфиги или вывешивайте тут.... будем посмотреть))))упростил конфигурацию для теста, но результат остался.
Что я пробую сделать:
гейт подлючаю в сеть провайдера, т.е
ИНЕТ(192.168.1.5/16)<--->(192.168.2.17/16)ГЕЙТ(194.154.161.201/24)
локально с гейта пингую 194.154.161.201/24. ни запросов.. ни ответов... ставлю вместо него другой адрес - все нормально.при этой конфигурации гейта:
НАТ - отключен
ipfw - отключен (в ядре собирался с ACCEPT по дефолту), т.е пинговать интерфейсы должен точно.rc.conf:
gateway_enable="YES"
keymap="ru.koi8-r"
linux_enable="NO"
network_interfaces="rl0 ed0 lo0"
ifconfig_ed0="inet 194.254.161.201 netmask 255.255.255.0"
ifconfig_rl0="inet 192.168.2.17 netmask 255.255.0.0"
sendmail_enable="NONE"
sshd_enable="YES"
firewall_enable="NO"
firewall_script="/etc/rc.firewall"
firewall_type="open"
defaultrouter="192.168.1.5"
hostname="xxx"xxx# netstat -rn
Routing tablesInternet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.1.5 UGS 0 137 rl0
127.0.0.1 127.0.0.1 UH 0 0 lo0
194.254.161.0/24 link#2 UC 0 0 ed0
192.168.0.0/16 link#1 UC 0 0 rl0
192.168.1.5 00:14:85:17:7f:7a UHLW 2 241 rl0 1199xxx# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8<VLAN_MTU>
ether 00:50:ba:b4:de:c0
inet 192.168.2.17 netmask 0xffff0000 broadcast 192.168.255.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
ed0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
ether 00:50:bf:65:26:e5
inet 194.254.161.201 netmask 0xffffff00 broadcast 194.254.161.255
media: Ethernet autoselect (10baseT/UTP)
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet 127.0.0.1 netmask 0xff000000этого хватит? или еще чтонить? :)
>ifconfig_ed0="inet 194.254.161.201 netmask 255.255.255.0"
>ifconfig_rl0="inet 192.168.2.17 netmask 255.255.0.0"А почему на внутренней интерфейсе реальный адрес? Естественно, что ответные пакеты до него не доходят.
>>ifconfig_ed0="inet 194.254.161.201 netmask 255.255.255.0"
>>ifconfig_rl0="inet 192.168.2.17 netmask 255.255.0.0"
>
>А почему на внутренней интерфейсе реальный адрес? Естественно, что ответные пакеты до
>него не доходят.Такс... извиняюсь что ввел всех в заблуждение. Действительный внутренний адрес не
194.254.161.201, принадлежащий Франс Телекому, а 169.254.161.201 (из свободнях для использоввания в частных сетях).
>Такс... извиняюсь что ввел всех в заблуждение. Действительный внутренний адрес не
>194.254.161.201, принадлежащий Франс Телекому, а 169.254.161.201 (из свободнях для использоввания в частных
>сетях).покажите вывод
route -n
в то время когда на внутренний интерфейс присвоен адрес 169.254.161.201
169.254.0.0/16 - используется для APIPA, стОит ли его использовать.
>[оверквотинг удален]
>пингую с самого гейта свой же адрес 194.254.161.201 - ни запросов, ни
>ответов.
>
>Меняю на гейте адрес с 194.254.161.201 на 192.169.1.1/24. Ставлю на клиенте адрес
>так же из этой подсети - все работает, пинги, инет. все
>как требовалось.
>
>Не могу найти в чем грабли, может кто сталкивался?
>
>Адрес гейта на внутреннем интерфейсе менять нельзя...IP-адрес: 194.254.161.201
inetnum: 194.254.161.0 - 194.254.161.255
netname: FR-CNET-LANNION
descr: France Telecom R&D
descr: 38-40 rue du General Leclerc
descr: 92794 Issy les Moulineaux Cedex 9
country: FR
admin-c: AF5788-RIPE
tech-c: FM5086-RIPE
tech-c: PS3687-RIPE
tech-c: BF1253-RIPE
status: ASSIGNED PA
mnt-by: RENATER-MNT
source: RIPE # FilteredВам не кажется это странным?
По мне, так я вообще не понял...
1)Почему пров отдает "серые" адреса не внешний фейс, а на внутренних реальные (?) прописаны?
2)Кто отвечает за роутинг в этой сети?
3)Да, и если всё настроено правильно (?!), то почему не работает?
>По мне, так я вообще не понял...
>1)Почему пров отдает "серые" адреса не внешний фейс, а на внутренних
>реальные (?) прописаны?
>2)Кто отвечает за роутинг в этой сети?
>3)Да, и если всё настроено правильно (?!), то почему не работает?+ 1 к посту выше (Ночной админ)